62023CJ0507

UNIONIN TUOMIOISTUIMEN TUOMIO (kahdeksas jaosto)

4 päivänä lokakuuta 2024 ( *1 )

Ennakkoratkaisupyyntö – Henkilötietojen suoja – Asetus (EU) 2016/679 – 82 artiklan 1 kohta – Vastuu ja oikeus korvauksen saamiseen – Henkilötietojen lainvastainen käsittely – Henkilötietojen suojaa koskevan oikeuden loukkaaminen – Vahingon käsite – Aineettoman vahingon korvaaminen anteeksipyynnön esittämisen muodossa – Hyväksyttävyys – Tehokkuusperiaate – Korvauksen muotoa ja määrää koskeva arviointi – Rekisterinpitäjän asenteen ja perustelujen mahdollinen huomioon ottaminen

Asiassa C‑507/23,

jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Augstākā tiesa (Senāts) (ylin tuomioistuin, Latvia) on esittänyt 7.8.2023 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 8.8.2023, saadakseen ennakkoratkaisun asiassa

vastaan

Patērētāju tiesību aizsardzības centrs,

UNIONIN TUOMIOISTUIN (kahdeksas jaosto),

toimien kokoonpanossa: jaoston puheenjohtaja N. Piçarra sekä tuomarit N. Jääskinen (esittelevä tuomari) ja M. Gavalec,

julkisasiamies: M. Szpunar,

kirjaaja: A. Calot Escobar,

ottaen huomioon kirjallisessa käsittelyssä esitetyn,

ottaen huomioon huomautukset, jotka sille ovat esittäneet

–	Latvian hallitus, asiamiehinään J. Davidoviča ja K. Pommere,

–	Euroopan komissio, asiamiehinään A. Bouchagiar, H. Kranenborg ja I. Naglis,

päätettyään julkisasiamiestä kuultuaan ratkaista asian ilman ratkaisuehdotusta,

on antanut seuraavan

tuomion

Ennakkoratkaisupyyntö koskee luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1) 82 artiklan 1 kohdan tulkintaa.

Tämä pyyntö on esitetty asiassa, jossa vastakkain ovat A ja Patērētāju tiesību aizsardzības centrs (kuluttajansuojaviranomainen, Latvia) ja joka koskee sellaisen aineettoman vahingon korvaamista, jonka pääasian valittaja väittää kärsineensä sen johdosta, että kuluttajansuojaviranomainen käsitteli tiettyjä häntä koskevia henkilötietoja ilman hänen lupaansa.

Asiaa koskevat oikeussäännöt

Unionin oikeus

Yleisen tietosuoja-asetuksen johdanto-osan 1, 75, 85, 146 ja 148 perustelukappaleessa todetaan seuraavaa:

”(1)	Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus. Euroopan unionin perusoikeuskirjan, jäljempänä ’perusoikeuskirja’, 8 artiklan 1 kohdan ja (SEUT) 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan.

– –

(75)

Nämä todennäköisyydeltään ja vakavuudeltaan vaihtelevat luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit voivat aiheutua henkilötietojen käsittelystä, joka voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja, erityisesti jos käsittely saattaa johtaa – – maineen vahingoittumiseen – – tai aiheuttaa muuta merkittävää taloudellista tai sosiaalista haittaa; jos rekisteröidyiltä saatetaan evätä heidän oikeuksiaan ja vapauksiaan tai estää heitä hallitsemasta omia henkilötietojaan; – –

– –

(85)

Jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua luonnollisille henkilöille fyysisiä, aineellisia tai aineettomia vahinkoja, kuten omien henkilötietojen hallitsemiskyvyn menettäminen tai omien oikeuksien rajoittaminen, – – maineen vahingoittuminen, – – tai muuta merkittävää taloudellista tai sosiaalista vahinkoa. – –

– –

(146)

Rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava luonnollisille henkilöille vahingot, jotka ovat aiheutuneet tietojenkäsittelystä, jossa on rikottu tätä asetusta. – – Vahingon käsite olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon. Tämä ei vaikuta korvausvaatimuksiin, jotka johtuvat unionin oikeuden tai jäsenvaltion lainsäädännön muiden sääntöjen rikkomisesta. – – Rekisteröityjen olisi saatava täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta. – –

– –

(148)

Tämän asetuksen sääntöjen täytäntöönpanon vahvistamiseksi asetuksen säännösten rikkomisesta olisi määrättävä seuraamuksia, kuten hallinnollisia seuraamusmaksuja – –. Rikkomisen luonteeseen, vakavuuteen ja kestoon, sen tahallisuuteen, aiheutuneen vahingon lieventämiseksi toteutettuihin toimiin, vastuun asteeseen – – ja mahdollisiin muihin raskauttaviin tai lieventäviin tekijöihin olisi kuitenkin kiinnitettävä asianmukaista huomiota. – –”

4	Asetuksen 1 artiklan, jonka otsikko on ”Kohde ja tavoitteet”, 2 kohdassa säädetään seuraavaa: ”Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja ‑vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.”

Asetuksen 4 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:

”Tässä asetuksessa tarkoitetaan

1)	’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; – –

– –

7)	’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; – –

– –

12)	’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,

– –”

6	Asetuksen 6 artiklan, jonka otsikko on ”Käsittelyn lainmukaisuus”, 1 kohdassa säädetään, että henkilötietojen käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi kyseisessä kohdassa luetelluista edellytyksistä täyttyy.

7	Yleisen tietosuoja-asetuksen VIII luku, jonka otsikko on ”Oikeussuojakeinot, vastuu ja seuraamukset”, sisältää kyseisen asetuksen 77–84 artiklan.

Asetuksen 82 artiklan, jonka otsikko on ”Vastuu ja oikeus korvauksen saamisen”, 1 ja 2 kohdassa säädetään seuraavaa:

”1. Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.

2. Kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta. – –”

Asetuksen 83 artiklan, jonka otsikko on ”Hallinnollisten seuraamusmaksujen määräämisen yleiset edellytykset”, 2 kohdassa säädetään seuraavaa:

”– – Kun päätetään hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:

a)	rikkomuksen luonne, vakavuus ja kesto huomioon ottaen kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus, sekä niiden rekisteröityjen lukumäärä, joihin rikkomus vaikuttaa, ja heille aiheutuneen vahingon suuruus;

b)	rikkomuksen tahallisuus tai tuottamuksellisuus;

c)	rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;

– –

k)	mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomuksesta suoraan tai epäsuorasti saadut mahdolliset taloudelliset edut tai rikkomuksella vältetyt tappiot.”

Asetuksen 84 artiklan, jonka otsikko on ”Seuraamukset”, 1 kohdassa säädetään seuraavaa:

”Jäsenvaltioiden on säädettävä muista tämän asetuksen rikkomisesta aiheutuvista seuraamuksista erityisesti niitä tilanteita varten, joihin ei sovelleta 83 artiklan mukaisia hallinnollisia seuraamusmaksuja, sekä toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Tällaisten seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.”

Latvian oikeus

Kansallisten viranomaisten aiheuttaman vahingon korvaamisesta 2.6.2005 annetun lain (Valsts pārvaldes iestāžu nodarīto zaudējumu atlīdzināšanas likums; Latvijas Vēstnesis, 2005, nro 96), sellaisena kuin sitä sovelletaan pääasiassa (jäljempänä vuoden 2005 laki), 14 §:ssä, jonka otsikko on ”Korvausvelvoitteen määrittäminen aineettoman vahingon osalta”, säädetään seuraavaa:

”1. Aineetonta vahinkoa koskeva vahingonkorvausvelvollisuus määritetään niiden lailla suojeltujen oikeuksien ja etujen merkityksen mukaan, joihin on puututtu, ja kyseisen puuttumisen vakavuuden mukaan, jolloin otetaan huomioon viranomaisen teon tosiseikkoihin perustuvat ja oikeudelliset perustelut, vahinkoa kärsineen käyttäytyminen ja oma vastuu sekä muut kyseisen tapauksen kannalta merkitykselliset olosuhteet.

2. Aineeton vahinko korvataan palauttamalla vahinkoa edeltänyt tilanne tai, mikäli tämä ratkaisu on täysin tai osittain mahdoton tai epäasianmukainen, esittämällä anteeksipyyntö tai suorittamalla asianmukainen korvaus.

3. Jos viranomainen tai tuomioistuin toteaa kyseisen tapauksen olosuhteita arvioituaan, että puuttuminen asianomaisen laissa suojeltuihin oikeuksiin tai etuihin ei ole vakava, kirjallinen tai julkinen anteeksipyyntö voi olla ainoa korvaus tai täydentävä korvaus aineettomasta vahingosta.

4. Korvaus aineettomasta vahingosta voidaan määrittää enintään 7000 euroksi. Mikäli aiheutetaan vakavaa aineetonta vahinkoa, korvaus voidaan vahvistaa enintään 10000 euroksi, mutta kuolemantapauksen tai terveydelle aiheutuvan erityisen vakavan vahingon tapauksessa korvauksen enimmäismäärä voi olla enintään 30000 euroa.”

Pääasia ja ennakkoratkaisukysymykset

12	Pääasian valittaja tunnetaan Latviassa autoalaan erikoistuneena toimittajana.

13	Kuluttajansuojaviranomainen levitti osana kampanjaa, jonka tarkoituksena oli tiedottaa kuluttajille käytetyn auton ostoon liittyvistä riskeistä, useilla internetin alustoilla videota, jossa muun muassa esiintyi pääasian valittajaa imitoiva henkilö, ilman pääasian valittajan suostumusta.

Siitä huolimatta, että pääasian valittaja vastusti kyseisen videon toteuttamista ja levittämistä, se on edelleen saatavilla internetissä. Kuluttajansuojaviranomainen hylkäsi myös pääasian valittajan esittämät nimenomaiset pyynnöt, jotka koskivat videon levittämisen lopettamista ja korvauksen suorittamista hänen maineensa vahingoittumisesta.

Pääasian valittaja nosti tämän johdosta administratīvā rajona tiesassa (alueellinen hallintotuomioistuin, Latvia) kanteen, jossa hän vaati yhtäältä, että kuluttajansuojaviranomaisen toimet, jotka muodostuvat hänen henkilötietojensa käyttämisestä ja levittämisestä ilman hänen lupaansa, todetaan lainvastaisiksi, ja toisaalta, että kyseinen viranomainen velvoitetaan korvaamaan hänelle aiheutunut aineeton vahinko anteeksipyynnön esittämisen ja 2000 euron suuruisen korvauksen suorittamisen muodossa. Kyseinen tuomioistuin totesi nämä toimet lainvastaisiksi, jonka jälkeen se määräsi kuluttajansuojaviranomaisen lopettamaan kyseiset toimet, esittämään pääasian valittajalle julkisen anteeksipyynnön ja suorittamaan hänelle 100 euron suuruisen korvauksen aineettomasta vahingosta.

Administratīvā apgabaltiesa (maakunnallinen hallintotuomioistuin, Latvia), joka käsitteli asian muutoksenhakuasteena, totesi 20.5.2023 antamassaan tuomiossa yleisen tietosuoja-asetuksen 6 artiklan nojalla kuluttajansuojaviranomainen käsitelleen henkilötietoja lainvastaisesti ja määräsi kyseisen viranomaisen lopettamaan tämän menettelyn ja julkaisemaan vuoden 2005 lain 14 §:n nojalla anteeksipyynnön verkkosivustoilla, joilla videota levitettiin. Kyseinen tuomioistuin hylkäsi sitä vastoin pääasian valittajalle aiheutunutta aineetonta vahinkoa koskevan rahamääräisen korvausvaatimuksen. Se totesi tältä osin muun muassa, ettei rikkominen ollut vakava, koska videon tarkoituksena oli yleistä etua koskevan tehtävän suorittaminen eikä valittajan kunnian tai arvokkuuden loukkaaminen tai hänen maineensa vahingoittaminen. Sen mukaan on lisäksi niin, että mainittu rikkominen johtui siitä, että kuluttajansuojaviranomainen oli tulkinnut monimutkaista lainsäädäntöä väärin.

Pääasian valittaja on riitauttanut Augstākā tiesassa (Senāts) (ylin tuomioistuin, Latvia), joka on tässä asiassa ennakkoratkaisua pyytänyt tuomioistuin, tekemällään kassaatiovalituksella administratīvā apgabaltiesan tuomion siltä osin kuin siinä hylättiin vaatimus, joka koski rahamääräistä korvausta hänelle aiheutuneesta aineettomasta vahingosta. Hän väittää pääasiallisesti, että toisen asteen tuomioistuin teki virheitä arvioidessaan hänen oikeuksiensa loukkaamisen vakavuutta ja tästä loukkauksesta aiheutunutta aineetonta vahinkoa. Hän vetoaa myös siihen, ettei anteeksipyynnön esittämisen muodossa suoritettava korvaus ole yleisen tietosuoja-asetuksen 82 artiklan valossa oikeudenmukainen eikä asianmukainen.

Ennakkoratkaisua pyytänyt tuomioistuin katsoo ensinnäkin 4.5.2023 annetun tuomion Österreichische Post (Henkilötietojen käsittelyyn liittyvä aineeton vahinko) (C‑300/21, EU:C:2023:370) valossa, että yleisen tietosuoja-asetuksen 82 artiklassa ei sallita korvauksen määräämistä kyseisen asetuksen rikkomisen johdosta määrittämättä ensin tästä rikkomisesta aiheutunutta vahinkoa. Kyseisen tuomioistuimen mukaan toisen asteen tuomioistuin jätti tässä tapauksessa kyseisen 82 artiklan huomiotta, kun se määräsi tällaisen korvauksen toteamatta, että pääasian valittajan kunniaa tai arvokkuutta on loukattu tai hänen mainettaan vahingoitettu. Ennakkoratkaisua pyytänyt tuomioistuin pyrkii tässä yhteydessä selvittämään, voiko yleisen tietosuoja-asetuksen 1 artiklan 2 kohdan ja sen johdanto-osan 75, 85 ja 146 perustelukappaleen valossa henkilötietojen lainvastainen käsittely sellaisenaan merkitä näiden henkilötietojen suojaa koskevan perusoikeuden, sellaisena kuin se taataan perusoikeuskirjan 8 artiklan 1 kohdassa, loukkaamista ja voiko näin ollen tällainen lainvastainen käsittely olla mainitussa 82 artiklassa tarkoitettua vahinkoa myös silloin, kun rekisteröidyn kunnian tai arvokkuuden loukkaamista tai hänen maineensa vahingoittumista ei näytetä toteen.

Ennakkoratkaisua pyytänyt tuomioistuin nostaa toiseksi esiin yleisen tietosuoja-asetuksen 82 artiklan, sellaisena kuin sitä on tulkittu 4.5.2023 annetussa tuomiossa Österreichische Post (C‑300/21, EU:C:2023:370), nojalla suoritettavaa asianmukaista korvausta aineettomasta vahingosta koskevan kysymyksen. Se haluaa tietää, voiko anteeksipyynnön esittämistä vahingon kärsineelle koskevaa velvollisuutta, joka voi olla Latvian oikeudessa joko itsenäinen tai täydentävä korvausmuoto, pitää tietyissä tilanteissa kyseisen 82 artiklan 1 kohdan mukaisena riittävänä korvauksena.

Kyseinen tuomioistuin pohtii kolmanneksi ja viimeiseksi – kun otetaan huomioon edellä mainitun tuomion 58 kohta –, sallitaanko yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa kyseisen säännöksen perusteella maksettavan korvauksen muodon ja määrän arvioinnin yhteydessä se, että huomioon otetaan olosuhteet, jotka liittyvät tämän asetuksen säännöksiä rikkoneen osapuolen toimiin tai jotka jopa oikeuttavat tällaiset toimet.

Näissä olosuhteissa Augstākā tiesa (Senāts) on päättänyt lykätä asian ratkaisua ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:

”1)

Onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että henkilötietojen lainvastainen käsittely voi kyseisen asetuksen vastaisena merkitä jo sellaisenaan perusteetonta puuttumista henkilön subjektiiviseen oikeuteen suojella tietojaan ja kyseiselle henkilölle aiheutettua vahinkoa?

2)	Onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että siinä sallitaan se, että kun ei ole olemassa mahdollisuutta palauttaa vahingon ilmenemistä edeltänyttä tilannetta, velvoitetaan esittämään anteeksipyyntö ainoana korvauksena aineettomasta vahingosta?

Onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että siinä sallitaan se, että seikat, jotka osoittavat rekisterinpitäjän asenteen ja perustelut (esimerkiksi tarve suorittaa yleistä etua koskeva tehtävä, se, että tarkoituksena ei ole ollut vahingon aiheuttaminen asianomaiselle henkilölle, tai vaikeudet ymmärtää asiaa koskevaa lainsäädäntöä), ovat peruste alemman korvauksen vahvistamiselle kyseisestä vahingosta?”

Ennakkoratkaisukysymysten tarkastelu

Ensimmäinen kysymys

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisellä kysymyksellään pääasiallisesti, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa, luettuna perusoikeuskirjan 8 artiklan 1 kohdan valossa, tulkittava siten, että kyseisen asetuksen säännösten rikkominen riittää sellaisenaan merkitsemään 82 artiklan 1 kohdassa tarkoitettua vahinkoa.

23	Yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa säädetään, että ”jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta”.

Unionin tuomioistuin on toistuvasti tulkinnut kyseistä 82 artiklan 1 kohtaa siten, että pelkkä kyseisen asetuksen rikkominen ei riitä antamaan oikeutta korvauksen saamiseen kyseisen säännöksen nojalla, koska aineellisen tai aineettoman vahingon aiheutuminen on yksi mainitussa säännöksessä säädetyn korvauksen saamista koskevan oikeuden kolmesta kumulatiivisesta edellytyksestä samoin kuin se, että tämän asetuksen säännöksiä on rikottu, ja se, että vahingon ja rikkomisen välillä on syy-yhteys. Henkilön, joka vaatii korvausta aineettomasta vahingosta tämän säännöksen perusteella, on siten näytettävä toteen paitsi kyseisen asetuksen rikkominen myös se, että rikkominen on tosiasiallisesti aiheuttanut hänelle tällaista vahinkoa (ks. vastaavasti tuomio 4.5.2023, Österreichische Post, C‑300/21, EU:C:2023:370, 32, 33, 42 ja 50 kohta; tuomio 20.6.2024, Scalable Capital, C‑182/22 ja C‑189/22, EU:C:2024:531, 41 ja 42 kohta sekä tuomio 20.6.2024, PS (Väärä osoite), C‑590/22, EU:C:2024:536, 22, 24, 25 ja 27 kohta).

Koska nämä kolme kumulatiivista edellytystä ovat välttämättömiä ja riittäviä yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa tarkoitetun korvausta koskevan oikeuden saamiseksi (tuomio 14.12.2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, 14 kohta), tämän oikeuden edellytykseksi ei voida asettaa lisänäyttöä siitä, että kyseisen asetuksen 4 artiklan 1 alakohdassa määritellyn rekisteröidyn oikeudelliseen intressiin – eli tällaisen henkilön oikeuteen henkilötietojensa suojaan –, jota mainitulla asetuksella pyritään suojelemaan, on perusteettomasti puututtu.

Unionin tuomioistuin on lisäksi painottanut, että vaikka yleisen tietosuoja-asetuksen säännöksessä, jota on rikottu, annettaisiin oikeuksia luonnollisille henkilöille, tällainen rikkominen ei sellaisenaan voi merkitä kyseisessä asetuksessa tarkoitettua aineetonta vahinkoa eikä olla korvauksen saamista koskevan oikeuden perusta mainitun asetuksen nojalla, sillä tässä asetuksessa edellytetään, että myös tämän tuomion 24 kohdassa mainitut kaksi muuta edellytystä täyttyvät (ks. vastaavasti tuomio 11.4.2024, juris, C‑741/21, EU:C:2024:288, 40 kohta).

Tätä yleisen tietosuoja-asetuksen 82 artiklan 1 kohdan tulkintaa tukee sen 75, 85 ja 146 perustelukappale. Näistä perustelukappaleista ilmenee näet ensinnäkin, että vahingon aiheutuminen henkilötietojen lainvastaisen käsittelyn yhteydessä on ainoastaan tällaisen käsittelyn potentiaalinen seuraus eikä automaattinen seuraus, toiseksi, että yleisen tietosuoja-asetuksen rikkominen ei välttämättä aiheuta vahinkoa, ja kolmanneksi, että kyseessä olevan rikkomisen ja rekisteröidylle aiheutuneen vahingon välillä on oltava syy-yhteys, jotta oikeus korvauksen saamiseen olisi perusteltu (ks. vastaavasti tuomio 4.5.2023, Österreichische Post, C‑300/21, EU:C:2023:370, 37 kohta).

28	Kyseinen tulkinta on siten omiaan takaamaan henkilötietojen suojan perusoikeuskirjan 8 artiklan 1 kohdassa, johon viitataan yleisen tietosuoja-asetuksen johdanto-osan ensimmäisessä perustelukappaleessa, vahvistettuna perusoikeutena.

Edellä esitetyn perusteella ensimmäiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa, luettuna perusoikeuskirjan 8 artiklan 1 kohdan valossa, on tulkittava siten, että kyseisen asetuksen säännösten rikkominen ei riitä sellaisenaan merkitsemään tämän 82 artiklan 1 kohdassa tarkoitettua vahinkoa.

Toinen kysymys

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee toisella kysymyksellään pääasiallisesti, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että anteeksipyynnön esittäminen voi olla tämän säännöksen nojalla asianmukainen korvaus aineettomasta vahingosta erityisesti silloin, kun ei ole olemassa mahdollisuutta palauttaa vahingon ilmenemistä edeltänyttä tilannetta.

Vakiintuneen oikeuskäytännön mukaan kunkin jäsenvaltion asiana on menettelyllisen itsemääräämisoikeuden periaatteen nojalla vahvistaa sisäisessä oikeusjärjestyksessään menettelysäännöt sellaisia oikeussuojakeinoja varten, joilla pyritään turvaamaan yksityisillä olevien oikeuksien suojaaminen, kuitenkin sillä edellytyksellä, että nämä menettelysäännöt eivät ole unionin oikeuden alaisuuteen kuuluvissa tilanteissa epäedullisempia kuin samankaltaisia kansallisen oikeuden piiriin kuuluvia tilanteita koskevat säännöt (vastaavuusperiaate) eivätkä ne ole sellaisia, että unionin oikeudessa annettujen oikeuksien käyttäminen on käytännössä mahdotonta tai suhteettoman vaikeaa (tehokkuusperiaate) (tuomio 4.5.2023, Österreichische Post, C‑300/21, EU:C:2023:370, 53 kohta ja tuomio 20.6.2024, Scalable Capital, C‑182/22 ja C‑189/22, EU:C:2024:531, 32 kohta).

Nyt käsiteltävässä asiassa on niin, että koska yleisessä tietosuoja-asetuksessa ei ole säännöstä, jolla määritettäisiin säännöt, jotka koskevat tämän asetuksen 82 artiklassa vahvistetun korvauksen saamista koskevan oikeuden perusteella suoritettavan vahingonkorvauksen arviointia, kansallisten tuomioistuinten on tässä arvioinnissa sovellettava kunkin jäsenvaltion kansallisia oikeussääntöjä, jotka koskevat rahamääräisen korvauksen suuruutta, kunhan unionin oikeuden vastaavuus- ja tehokkuusperiaatteita noudatetaan (ks. vastaavasti tuomio 4.5.2023, Österreichische Post, C‑300/21, EU:C:2023:370, 54 ja 59 kohta; tuomio 20.6.2024, Scalable Capital, C‑182/22 ja C‑189/22, EU:C:2024:531, 27 ja 33 kohta sekä tuomio 20.6.2024, PS (Väärä osoite), C‑590/22, EU:C:2024:536, 40 kohta).

33	Vastaavuusperiaatteen noudattamisen osalta on tältä osin todettava, että unionin tuomioistuimella ei ole tiedossaan mitään sellaista seikkaa, joka voisi viitata siihen, että kyseisellä periaatteella voisi olla konkreettista vaikutusta pääasiassa.

Tehokkuusperiaatteen noudattamisen osalta on todettava, että yleisen tietosuoja-asetuksen 82 artiklassa säädetyn korvauksen saamista koskevan oikeuden yksinomainen vahingonkorvaustehtävä merkitsee sitä, että kyseisen artiklan nojalla maksettavan korvauksen arviointiperusteet on vahvistettava jokaisen jäsenvaltion oikeusjärjestyksessä siten, että tällaisen korvauksen on oltava täysi ja tosiasiallinen ilman, että tällainen täysimääräinen korvaus edellyttäisi rangaistusluonteisten vahingonkorvausten määräämistä maksettavaksi (ks. vastaavasti tuomio 4.5.2023, Österreichische Post, C‑300/21, EU:C:2023:370, 57 ja 58 kohta; tuomio 20.6.2024, Scalable Capital, C‑182/22 ja C‑189/22, EU:C:2024:531, 23, 24, 35, 36 ja 43 kohta sekä tuomio 20.6.2024, PS (Väärä osoite), C‑590/22, EU:C:2024:536, 42 kohta).

Unionin tuomioistuin on lisäksi katsonut, että jos rekisteröidylle aiheutunut vahinko ei ole vakava, kansallinen tuomioistuin voi määrätä sen korvattavaksi myöntämällä kyseiselle rekisteröidylle vähäisen korvauksen, kunhan näin myönnetyllä määrältään vähäisellä vahingonkorvauksella voidaan täysimääräisesti korvata tämä vahinko, mikä kansallisen tuomioistuimen on selvitettävä (ks. vastaavasti tuomio 20.6.2024, Scalable Capital, C‑182/22 ja C‑189/22, EU:C:2024:531, 46 kohta).

Yleisen tietosuoja-asetuksen 82 artiklan 1 kohta ei myöskään ole esteenä sille, että anteeksipyynnön esittäminen voi olla itsenäinen tai täydentävä korvaus aineettomasta vahingosta – kuten vuoden 2005 lain 14 §:ssä säädetään nyt käsiteltävässä asiassa –, kunhan tällainen korvausmuoto on mainittujen vastaavuus- ja tehokkuusperiaatteiden mukainen erityisesti siltä osin, että sillä on voitava korvata tämän asetuksen rikkomisesta konkreettisesti aiheutunut aineeton vahinko täysimääräisesti, mikä asiaa käsittelevän kansallisen tuomioistuimen on selvitettävä kunkin yksittäistapauksen olosuhteiden perusteella.

Edellä esitetyn perusteella toiseen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että anteeksipyynnön esittäminen voi olla tämän säännöksen nojalla asianmukainen korvaus aineettomasta vahingosta erityisesti silloin, kun ei ole olemassa mahdollisuutta palauttaa vahingon ilmenemistä edeltänyttä tilannetta, kunhan tällä korvausmuodolla voidaan korvata täysimääräisesti rekisteröidylle aiheutunut vahinko.

Kolmas kysymys

Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee kolmannella kysymyksellään pääasiallisesti, onko yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa tulkittava siten, että se on esteenä sille, että rekisterinpitäjän asenne ja perustelut voidaan ottaa huomioon, jotta rekisteröidylle tarvittaessa myönnetään korvaus, joka on hänelle konkreettisesti aiheutunutta vahinkoa pienempi.

Yleisen tietosuoja-asetuksen 83 artiklasta, luettuna sen johdanto-osan 148 perustelukappaleen valossa, ilmenee ensinnäkin, että kun päätetään hallinnollisen seuraamusmaksun määräämisestä ja sen määrästä, on otettava huomioon muun muassa rekisterinpitäjän asennetta ja perusteluja koskevat perusteet ”raskauttavina tai lieventävinä tekijöinä”. Näitä perusteita ei kuitenkaan mainita asetuksen 82 artiklassa eikä myöskään sen johdanto-osan 146 perustelukappaleessa, joka koskee erityisesti kyseisessä 82 artiklassa säädettyä oikeutta korvauksen saamiseen.

Se, että tällaisiin perusteisiin ei viitata, on perusteltavissa sillä, että yleisen tietosuoja-asetuksen 82 artiklalla on yksinomaan vahingonkorvaustehtävä siltä osin kuin kyseiseen 82 artiklaan perustuvalla korvauksella – erityisesti rahamääräisellä korvauksella – on voitava korvata aiheutunut vahinko täysimääräisesti; tilanne on toinen muiden, yhtä lailla kyseisen asetuksen VIII luvussa olevien säännösten eli 83 ja 84 artiklan osalta, joilla on puolestaan pääasiallisesti rangaistustarkoitus, koska niiden nojalla voidaan määrätä hallinnollisia seuraamusmaksuja ja muita seuraamuksia (ks. vastaavasti tuomio 4.5.2023, Österreichische Post, C‑300/21, EU:C:2023:370, 38 ja 40 kohta ja tuomio 20.6.2024, Scalable Capital, C‑182/22 ja C‑189/22, EU:C:2024:531, 22 kohta).

Kun otetaan huomioon yleisen tietosuoja-asetuksen 82 artiklan, luettuna yhdessä sen johdanto-osan 146 perustelukappaleen kanssa, ja mainitun asetuksen 83 artiklan, luettuna yhdessä sen johdanto-osan 148 perustelukappaleen kanssa, sanamuodon ja tavoitteiden erot, ei voida katsoa, että kyseisessä 83 artiklassa nimenomaisesti mainittuja arviointiperusteita voitaisiin soveltaa soveltuvin osin kyseisen 82 artiklan yhteydessä (tuomio 20.6.2024, PS (Väärä osoite), C‑590/22, EU:C:2024:536, 43 kohta oikeuskäytäntöviittauksineen). Tämä toteamus pätee erityisesti mainitun 82 artiklan nojalla vahingon korvaamiseksi maksettavan vahingonkorvauksen määrän määrittämiseen (ks. vastaavasti tuomio 20.6.2024, PS (Väärä osoite), C‑590/22, EU:C:2024:536, 39 ja 44 kohta) ja yleisemmin tällaisen korvauksen muodon – rahamääräinen tai muu korvaus – ja määrän määrittämiseen.

Toiseksi se, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohdassa säädetyllä korvauksen saamista koskevalla oikeudella on yksinomaan vahingonkorvaustehtävä, on esteenä sille, että kyseisen asetuksen rikkomisen, johon rekisterinpitäjä on syyllistynyt, vakavuusaste ja mahdollinen tahallisuus otetaan huomioon määritettäessä tämän säännöksen perusteella vahingosta maksettavaa korvausta (ks. vastaavasti tuomio 20.6.2024, Scalable Capital, C‑182/22 ja C‑189/22, EU:C:2024:531, 28–30 kohta).

Kun otetaan huomioon se, että tällä korvauksen saamista koskevalla oikeudella on yksinomaan vahingonkorvaustehtävä eikä rangaistusluonteinen tehtävä, tällaisen rikkomisen vakavuudella ei voi olla vaikutusta kyseisen 82 artiklan 1 kohdan nojalla myönnettävän vahingonkorvauksen määrään, eikä kyseistä määrää voida vahvistaa vahingon täysimääräisen korvaamisen ylittävälle tasolle (ks. vastaavasti tuomio 20.6.2024, PS (Väärä osoite), C‑590/22, EU:C:2024:536, 41 kohta oikeuskäytäntöviittauksineen). Ainoastaan rekisteröidylle tosiasiallisesti aiheutunut vahinko on otettava huomioon määritettäessä tällaisen rahamääräisen korvauksen määrää (ks. vastaavasti tuomio 11.4.2024, juris, C‑741/21, EU:C:2024:288, 64 kohta).

Mainitun 82 artiklan 1 kohdan yksinomaista vahingonkorvaustehtävää ei lisäksi noudatettaisi, jos rekisterinpitäjän asenne ja perustelut otettaisiin huomioon tämän säännöksen nojalla myönnettävän korvauksen muodon määrittämiseksi tai sellaisen korvauksen myöntämiseksi, joka jää rekisteröidylle aiheutuneen vahingon täysimääräisen korvaamisen alittavalle tasolle ja jollaisen myöntämistä ennakkoratkaisua pyytänyt tuomioistuin harkitsee nyt käsiteltävässä asiassa.

Edellä esitetyn perusteella kolmanteen kysymykseen on vastattava, että yleisen tietosuoja-asetuksen 82 artiklan 1 kohtaa on tulkittava siten, että se on esteenä sille, että rekisterinpitäjän asenne ja perustelut voidaan ottaa huomioon, jotta rekisteröidylle tarvittaessa myönnetään korvaus, joka on hänelle konkreettisesti aiheutunutta vahinkoa pienempi.

Oikeudenkäyntikulut

Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.

Näillä perusteilla unionin tuomioistuin (kahdeksas jaosto) on ratkaissut asian seuraavasti:

Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 82 artiklan 1 kohtaa, luettuna Euroopan unionin perusoikeuskirjan 8 artiklan 1 kohdan valossa,

on tulkittava siten, että

kyseisen asetuksen säännösten rikkominen ei riitä sellaisenaan merkitsemään tämän 82 artiklan 1 kohdassa tarkoitettua vahinkoa.

Asetuksen 2016/679 82 artiklan 1 kohtaa

on tulkittava siten, että

anteeksipyynnön esittäminen voi olla tämän säännöksen nojalla asianmukainen korvaus aineettomasta vahingosta erityisesti silloin, kun ei ole olemassa mahdollisuutta palauttaa vahingon ilmenemistä edeltänyttä tilannetta, kunhan tällä korvausmuodolla voidaan korvata täysimääräisesti rekisteröidylle aiheutunut vahinko.

3)	Asetuksen 2016/679 82 artiklan 1 kohtaa on tulkittava siten, että se on esteenä sille, että rekisterinpitäjän asenne ja perustelut voidaan ottaa huomioon, jotta rekisteröidylle tarvittaessa myönnetään korvaus, joka on hänelle konkreettisesti aiheutunutta vahinkoa pienempi.

Allekirjoitukset

( *1 ) Oikeudenkäyntikieli: latvia.